使用 Amazon 的自訂設定 SageMaker

為組織設定 （自訂設定） 會引導您完成 Amazon SageMaker 網域的進階設定。此選項提供資訊和建議，協助您了解和控制帳戶組態的所有層面，包括許可、整合和加密。如果您想要設定自訂網域，請使用此選項。如需網域的相關資訊，請參閱 Amazon SageMaker 網域概觀。

身分驗證方法

在設定網域之前，請考慮使用者存取網域的身分驗證方法。

AWS 身分中心：

• 有助於簡化對使用者群組的存取許可管理。您可以授予或拒絕對使用者群組的許可，而不是將這些許可套用至每個個別使用者。如果使用者移至不同的組織，您可以將該使用者移至不同的 AWS Identity and Access Management Identity Center （AWS IAM Identity Center） 群組。然後，使用者會自動收到新組織所需的許可。

  請注意， IAM Identity Center 必須與網域位於相同的 AWS 區域 中。

  若要使用 IAM Identity Center 設定，請使用 AWS IAM Identity Center 使用者指南 中的下列指示：

  • 從啟用 AWS IAM Identity Center開始。

  • 建立遵循套用最低權限許可最佳實務的許可集。

  • 將群組新增至 IAM Identity Center 目錄。

  • 將單一登入存取權指派給使用者和群組。

  • 檢視基本工作流程，以開始使用 IAM Identity Center 中的常見任務。

• IAM Identity Center 中的使用者可以使用透過電子郵件傳送給他們的 AWS 存取入口網站 URL來存取網域。電子郵件提供建立帳戶以存取網域的指示。如需詳細資訊，請參閱登入 AWS 存取入口網站。

  身為管理員，您可以 AWS 存取入口網站 URL導覽至 IAM Identity Center 並在設定摘要 AWS 存取入口網站 URL下尋找 。

• 如果您想要將網域的存取限制為特定 Amazon Virtual Private Clouds AWS Identity and Access Management （IAM）、介面端點或預先定義的一組 IP 地址，您的網域必須使用 （VPCs） 身分驗證。使用 IAM Identity Center 身分驗證的網域不支援此功能。您仍然可以使用 IAM Identity Center 來啟用集中式人力資源身分控制。如需如何實作這些限制，同時讓 IAM Identity Center 提供一致的使用者登入體驗的指示，請參閱AWS 機器學習部落格中的使用 IAM Identity Center 保護對 Amazon SageMaker Studio Classic 和SAML應用程式的存取安全。請注意， AWS SSO 是此部落格中的 IAM Identity Center。

透過 登入IAM：

• 使用者設定檔可在登入帳戶後透過 SageMaker 主控台存取網域。

• 使用 AWS Identity and Access Management （VPCs） 身分驗證時，您可以將網域的存取限制為特定 Amazon Virtual Private Clouds （IAM）、介面端點或預先定義的一組 IP 地址。如需詳細資訊，請參閱僅允許從您的 內存取 VPC。

組織設定 （自訂設定）

使用主控台自訂設定

滿足 中的先決條件後完成 Amazon SageMaker 先決條件，開啟設定 SageMaker 網域 （自訂設定） 頁面，並展開下列區段以取得設定的相關資訊。

從 SageMaker 主控台開啟設定 SageMaker 網域

1. 開啟SageMaker 主控台 。

2. 在左側導覽窗格中，選擇管理組態以展開選項。

3. 在管理員組態下，選擇網域。

4. 從網域頁面中，選擇建立網域。

5. 在設定 SageMaker 網域頁面上，選擇為組織設定 。

6. 選擇 Set up (設定)。

開啟設定 SageMaker 網域頁面後，請使用下列指示：

步驟 1：網域詳細資訊

1. 在網域名稱 中，輸入網域的唯一名稱。例如，這可以是您的專案或團隊名稱。

2. 選擇 Next (下一步)。

步驟 2：使用者和 ML 活動

在此步驟中，您可以設定網域的身分驗證方法、使用者和許可。

1. 在您要如何存取 Studio 下，您可以選擇兩個選項之一。如需身分驗證方法的資訊，請參閱 身分驗證方法。選項的詳細資訊提供如下：

   • AWS 身分中心：

     在誰將使用 Studio 下？選擇將存取網域的 AWS IAM Identity Center 群組。

     如果您選擇無身分中心使用者群組，則會建立沒有使用者的網域。您可以在網域建立之後，將 IAM Identity Center 群組新增至網域。如需詳細資訊，請參閱編輯網域設定。

   • 透過 登入IAM：

     在誰將使用 Studio？ 選擇 + 新增使用者 下，輸入新的使用者設定檔名稱，然後選擇新增以建立和新增使用者設定檔名稱。

     您可以重複此程序來建立多個使用者設定檔。

2. 在誰將使用 Studio？ 選取 IAM Identity Center 使用者或群組下，然後選擇選取 。您需要在已設定 IAM Identity Center 的相同區域中設定 Amazon SageMaker Studio。您可以從主控台右上角的下拉式清單中選擇 區域，來變更網域的區域，也可以導覽至AWS 存取入口網站 來變更IAM身分中心區域。

3. 在他們執行哪些 ML 活動下？您可以選擇使用現有角色，或選擇建立新角色，並檢查您希望角色能夠存取的 ML 活動，以使用現有角色。

4. 選取 ML 活動時，您可能需要滿足要求。若要滿足需求，請選擇新增並完成需求。

5. 滿足所有要求後，選擇下一步。

步驟 3：應用程式

在此步驟中，您可以設定您在上一個步驟中啟用的應用程式。如需 ML 活動的詳細資訊，請參閱 機器學習 (ML) 活動參考。

如果應用程式尚未啟用，您會收到該應用程式的警告。若要啟用尚未啟用的應用程式，請選擇返回並遵循先前指示，返回上一個步驟。

• Studio 組態：

  在 Studio 下，您可以選擇較新的 Studio 和傳統版本的 Studio 作為預設體驗。這表示選擇您在開啟 Studio 時互動的 ML 環境。

  • Studio 包含多個整合式開發環境 （IDEs） 和應用程式，包括 Amazon SageMaker Studio Classic。如果選擇此選項，Studio Classic IDE具有預設設定。如需預設設定的資訊，請參閱 預設設定。

    如需 Studio 的詳細資訊，請參閱 Amazon SageMaker Studio。

  • Studio Classic 包含 Jupyter IDE。如果選擇此選項，您可以設定 Studio Classic 組態。

    如需有關 Studio Classic 的資訊，請參閱 Amazon SageMaker Studio Classic。

• SageMaker Canvas 組態：

  如果您已啟用 Amazon SageMaker Canvas，請參閱 開始使用 Amazon SageMaker Canvas以取得入職的指示和組態詳細資訊。

• Studio Classic 組態：

  如果您選擇 Studio （建議） 作為您的預設體驗，則 Studio Classic IDE具有預設設定。如需預設設定的資訊，請參閱 預設設定。

  如果您選擇 Studio Classic 作為預設體驗，您可以選擇啟用或停用筆記本資源共用。筆記本資源包含成品，例如儲存格輸出和 Git 儲存庫。如需筆記本資源的詳細資訊，請參閱 共用和使用 Amazon SageMaker Studio Classic Notebook。

  如果您啟用筆記本資源共用：

  1. 在可共用筆記本資源 的 S3 位置下，輸入您的 Amazon S3 位置。

  2. 在加密金鑰 - 選用 下，將 保留為無自訂加密，或選擇現有 AWS KMS 金鑰，或選擇輸入KMS金鑰ARN並輸入 AWS KMS 金鑰的 ARN。

  3. 在筆記本儲存格輸出共用偏好設定 下，選擇允許使用者共用儲存格輸出或停用儲存格輸出共用 。

• RStudio 組態：

  若要啟用 RStudio，您需要RStudio授權。若要設定，請參閱 取得RStudio授權。

  1. 在 RStudio Workbench 下，驗證您的RStudio授權是否自動偵測到。如需使用 取得RStudio授權和啟用授權的詳細資訊 SageMaker，請參閱 取得RStudio授權。

  2. 選取執行個體類型以啟動您的RStudio伺服器。如需詳細資訊，請參閱R StudioServerPro 執行個體類型。

  3. 在許可下，建立您的角色或選取現有角色。此角色也須具有下列許可政策。此政策允許RStudioServerPro應用程式存取必要的資源。它還允許 Amazon 在現有RStudioServerPro應用程式處於 Deleted或 Failed 狀態時 SageMaker 自動啟動RStudioServerPro應用程式。有關向角色新增權限的資訊，請參閱修改角色許可政策 (主控台)。

     {
         "Version": "2012-10-17",
         "Statement": [
             {
                 "Sid": "VisualEditor0",
                 "Effect": "Allow",
                 "Action": [
                     "license-manager:ExtendLicenseConsumption",
                     "license-manager:ListReceivedLicenses",
                     "license-manager:GetLicense",
                     "license-manager:CheckoutLicense",
                     "license-manager:CheckInLicense",
                     "logs:CreateLogDelivery",
                     "logs:CreateLogGroup",
                     "logs:CreateLogStream",
                     "logs:DeleteLogDelivery",
                     "logs:Describe*",
                     "logs:GetLogDelivery",
                     "logs:GetLogEvents",
                     "logs:ListLogDeliveries",
                     "logs:PutLogEvents",
                     "logs:PutResourcePolicy",
                     "logs:UpdateLogDelivery",
                     "sagemaker:CreateApp"
                 ],
                 "Resource": "*"
             }
         ]
     }    

  4. 在 RStudio Connect 下，URL為您的 RStudio Connect 伺服器新增 。RStudio Connect 是適用於 Shiny 應用程式、R Markdown 報告、儀表板、圖表等的發佈平台。當您RStudio在 上加入 時 SageMaker，不會建立 RStudio Connect 伺服器。如需詳細資訊，請參閱新增 RStudio Connect URL。

  5. 在 RStudio Package Manager 下，URL為您的 RStudio Package Manager 新增 。當您加入 時， 會為 Package Manager SageMaker 建立預設套件儲存庫RStudio。如需 RStudio Package Manager 的詳細資訊，請參閱 更新 RStudio Package Manager URL。

  6. 選取下一步。

• 程式碼編輯器組態：

  如果您已啟用程式碼編輯器，請參閱 Amazon SageMaker Studio 中的程式碼編輯器 以取得概觀和組態詳細資訊。

步驟 4：自訂 Studio UI

在本節中，您可以自訂 Studio 中顯示的可視應用程式和機器學習 （ML） 工具。此自訂只會隱藏 Studio 左側導覽窗格中的應用程式和 ML 工具。如需 Studio UI 的資訊，請參閱 Amazon SageMaker Studio UI 概觀。

如需有關應用程式的資訊，請參閱 Amazon SageMaker 工作室支持的應用。

Studio Classic 不提供自訂 Studio UI 功能。如果您想要將 Studio 設定為預設體驗，請選擇上一步並返回上一步。

1. 在自訂 Studio UI 頁面上，您可以關閉應用程式和在 Studio 中顯示 ML 工具。

2. 檢閱變更後，請選擇下一步。

步驟 5：設定網路設定

選擇您希望 Studio 連線到其他服務的方式 AWS 。

您可以選擇使用虛擬私有雲端 （VPC） 僅網路存取類型來指定，以停用 Studio 的網際網路存取。如果您選擇此選項，則無法執行 Studio 筆記本，除非您的 VPC具有 SageMaker API和 執行期的介面端點，或具有網際網路存取的網路位址轉譯 （NAT） 閘道，且您的安全群組允許傳出連線。如需 Amazon 的詳細資訊VPCs，請參閱 選擇 Amazon VPC。

如果您選擇虛擬私有雲端 （VPC），只需要下列步驟。如果您選擇公有網際網路存取 ，則需要執行下列前兩個步驟。

1. 在 下VPC，選擇 Amazon VPC ID。

2. 在子網路 下，選擇一或多個子網路。如果您未選擇任何子網路， SageMaker 會使用 Amazon 中的所有子網路VPC。建議您使用不在限制可用區域中建立的多個子網路。在這些受限的可用區域中使用子網路可能會導致容量不足錯誤，並延長應用程式建立時間。如需可用區域的資訊，請參閱可用區域。

3. 在安全群組 （Security group） 下，選擇一或多個子網路。

如果VPC只選取 ，則 SageMaker 會自動將為網域定義的安全群組設定套用至網域中建立的所有共用空間。如果只選取公用網際網路， SageMaker 不會將安全群組設定套用至網域中建立的共用空間。

步驟 6：設定儲存體

您可以選擇加密資料。建立網域時為您建立的 Amazon Elastic File System （Amazon EFS） 和 Amazon Elastic Block Store （Amazon EBS） 檔案系統。Code Editor 和 JupyterLab 空格都會使用 Amazon EBS大小。

加密 Amazon EFS和 Amazon EBS 檔案系統後，就無法變更加密金鑰。若要加密 Amazon EFS和 Amazon EBS 檔案系統，您可以使用下列組態。

• 在加密金鑰 - 選用 下，將 保留為無自訂加密，或選擇現有KMS金鑰，或選擇輸入KMS金鑰ARN並輸入KMS金鑰ARN的 。

• 在預設空間大小 - 選用 下，輸入預設空間大小。

• 在最大空間大小 - 選用 下，輸入最大空間大小。

步驟 7：檢閱和建立

檢閱您的網域設定。如果您需要變更設定，請選擇相關步驟旁的編輯。確認您的網域設定正確後，請選擇提交，然後為您建立網域。此程序可能需要幾分鐘的時間。

使用 自訂設定 AWS CLI

下列各節提供使用 IAM Identity Center 或IAM身分驗證方法自訂設定網域 AWS CLI 的指示。

在 中滿足先決條件後，包括設定您的 AWS CLI 憑證完成 Amazon SageMaker 先決條件，請使用下列步驟。

1. 建立用於建立網域和連接AmazonSageMakerFullAccess政策的執行角色。您也可以使用現有角色，該角色至少具有附加的信任政策，授予擔任角色的 SageMaker 許可。如需詳細資訊，請參閱如何使用 SageMaker 執行角色。

   aws iam create-role --role-name execution-role-name --assume-role-policy-document file://execution-role-trust-policy.json
   aws iam attach-role-policy --role-name execution-role-name --policy-arn arn:aws:iam::aws:policy/AmazonSageMakerFullAccess

2. 取得您帳戶的預設 Amazon Virtual Private Cloud （Amazon VPC）。

   aws --region region ec2 describe-vpcs --filters Name=isDefault,Values=true --query "Vpcs[0].VpcId" --output text

3. 取得預設 Amazon 中的子網路清單VPC。

   aws --region region ec2 describe-subnets --filters Name=vpc-id,Values=default-vpc-id --query "Subnets[*].SubnetId" --output json

4. 透過傳遞預設 Amazon VPC ID、子網路和執行角色 來建立網域ARN。您也必須傳遞 SageMaker 映像 ARN。如需可用 JupyterLab 版本 的資訊ARNs，請參閱 設定預設 JupyterLab版本。

   對於 authentication-mode，使用 SSO 進行IAM身分中心身分驗證或 IAM 進行IAM身分驗證。

   aws --region region sagemaker create-domain --domain-name domain-name --vpc-id default-vpc-id --subnet-ids subnet-ids --auth-mode authentication-mode --default-user-settings "ExecutionRole=arn:aws:iam::account-number:role/execution-role-name,JupyterServerAppSettings={DefaultResourceSpec={InstanceType=system,SageMakerImageArn=image-arn}}" \ --query DomainArn --output text

   您可以使用 AWS CLI 自訂 Studio 中為網域顯示的應用程式和 ML 工具，使用 StudioWebPortalSettings。使用 HiddenAppTypes來隱藏應用程式HiddenMlTools和隱藏 ML 工具。如需自訂 Studio UI 左側導覽的詳細資訊，請參閱 在 Amazon SageMaker Studio UI 中隱藏機器學習工具和應用程式。此功能不適用於 Studio Classic。

5. 確認網域已建立。

   aws --region region sagemaker list-domains

使用 自訂設定 AWS CloudFormation

如需使用 建立網域的相關資訊 AWS CloudFormation，請參閱 使用者指南中的 AWS：：SageMaker：Domain。 AWS CloudFormation

如需可用來設定網域的 AWS CloudFormation 範本範例，請參閱 aws-samples GitHub 儲存庫中的使用 建立 Amazon SageMaker 網域 AWS CloudFormation。

設定網域後，管理使用者可以檢視和編輯網域。如需詳細資訊，請參閱 檢視網域 及 編輯網域設定。

登入後存取網域

使用者可以 SageMaker 使用下列方式存取 ：

• URL 如果使用 IAM Identity Center 身分驗證設定網域，則登入。如需詳細資訊，請參閱如何登入使用者入口網站 。

• SageMaker 主控台 。